XSS攻擊:OWASP的替代方案?
[英]XSS attack : Alternative to OWASP?
問題描述
有沒有其他方法可以防止XSS攻擊而不是OWASP XSS過濾軟件? 如果可以防止在apache級別,我需要建議。 我不是安全專家,所以需要詳細信息。 謝謝你的幫助
2 個解決方案
解決方案1
2 2014-03-20 12:43:28
當數據顯示給最終用戶時,在表示層中會出現XSS問題。 因此,在apache級別阻止此操作並不是一種有效的方法。
OWASP ESAPI是一個庫(不是過濾軟件),它提供XSS保護作為API來編碼表示層中的數據。 每當要顯示受用戶輸入影響的內容時,都應該應用正確的編碼。 例如, OWASP XSS預防備忘單對Javascript上下文有以下示例:
String safe = ESAPI.encoder().encodeForJavaScript( request.getParameter( "input" ) );
這個用於“HTML屬性”上下文:
String safe = ESAPI.encoder().encodeForHTMLAttribute( request.getParameter( "input" ) );
正確的編碼因當前上下文(html,html屬性,javascript等)而異。
如果您不想使用OWASP庫,可以使用其他庫(如apache.commons.StringEscapeUtils進行編碼。 但是在為上下文選擇正確的方法時需要非常小心。
解決方案2
0 已采納 2014-03-21 00:08:55
另一種方法是執行動態應用程序掃描測試(DAST)導出過濾器,然后將其導入Web應用程序防火牆。
Web應用程序防火牆可以作為Apache服務器的一部分進行部署。 ModSecurity就是這種防火牆的一個例子
未檢測到 OWASP ESAPI XSS 攻擊
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.